Una nuova e aggiornata variante del malware Backoff, noto anche come ROM, è stato rilevato dagli esperti di sicurezza di recente.
I ricercatori Fortinet riferito che la nuova versione del punto di vendita di malware è quasi la stessa di quella precedente. Prodotti per la sicurezza rilevano ROM come W32 / Backoff.B!tr.spy. Il corpo di ROM non contiene un numero di versione.
The New Backoff Malware – Cosa c'è di diverso?
Cosa c'è di nuovo è la capacità di evitare la rilevazione e bloccare il processo di analisi. Rom non nasconde come un componente Java più; invece traveste da media player - mplaterc.exe. Non appena le si copia del malware al computer di destinazione, si invita un API, WinExec. Per evitare il processo di analisi, API prende più nomi con valori hash.
Gli analisti segnalano che Fortinet ROM è in grado di estrarre traccia 1 e Traccia 2 informazioni provenienti da terminali POS, proprio come Backoff. Il malware ignora predeterminato processi vengano analizzati e utilizza un elenco di valori hash quando si confronta il nome del processo contro la sua lista nera hardcoded. ROM può anche memorizzare i dati di carte di credito rubate. Le informazioni vengono criptate con due stringhe hard-coded sul sistema. I ricercatori dicono che ROM comunica con la C&C del server tramite la porta 443, anch'esso cifrato. Ciò rende il processo di rilevamento piuttosto difficile.
Inizialmente rilevato nel mese di agosto, il malware possiede le seguenti caratteristiche:
- Il furto di dati
- Scraping Memoria
- Exfiltration
- Iniezione
- Keylogging
Stranamente, l'ultima caratteristica non si trova nella ROM.
Secondo quanto riferito, sopra 400 località sono state colpite da Backoff nell'ultimo mese, estorcere i nomi degli utenti, numeri di carta di credito e le date di scadenza. Indietro nel mese di agosto, ricercatori con Kaspersky Lab riportati sopra 1000 infezioni nei soli Stati Uniti.
